# AN0571 — Analytic 0571 ## Descrição Este analítico correlaciona requisições anômalas à API do Docker ou Kubernetes com acesso a logs, secrets ou service accounts, detectando uso não autorizado de `docker logs`, `kubectl get secrets` ou chamadas diretas à API do servidor Kubernetes. A telemetria é extraída de logs de auditoria do Kubernetes API Server, registros do Docker daemon, e eventos de controle de acesso baseado em função (RBAC) que registram tentativas de escalada de privilégios dentro do ambiente de contêineres. Essa detecção é essencial pois o acesso indevido a secrets e service accounts em ambientes Kubernetes pode comprometer toda a infraestrutura do cluster, incluindo credenciais de sistemas externos. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN0571](https://attack.mitre.org/detectionstrategies/DET0198#AN0571)*